(限时投稿)实战记录 - 某家政系统存在注入

yangroupaomo   ·   发表于 2021-04-15 09:50:15   ·   实战纪实

某家政云系统post注入(万能密码)

1、打开后台

http://www.······.com/worker.php

直接输入1’ or 1=1 — qwe

点击回车。

他就居然进去了。他就进去了。。就进去了。。。是我没想到的

然后敏感信息泄露

知道账号密码

2 、利用谷歌语法信息搜集后台登录界面,找到同样使用这个系统的公司

3 、发现另外一家公司,登录成功

4 、返回主页,发现有一个VIP登录,点进去,登录成功

发现客户的也可以登录,查看信息和消费记录各种敏感信息


进入admin后台

通过这样操作,后面还挖到很多就不演示了。

风哥多来点金币嘛

用户名金币积分时间理由
Track-聂风 40.00 0 2021-04-15 11:11:34 参与限时投稿活动额外奖励
Track-聂风 70.00 0 2021-04-15 11:11:17 同学加油~期待新的文章

打赏我,让我更有动力~

2 Reply   |  Until 1个月前 | 389 View

Track-聂风
发表于 1个月前

看看能不能找到源码,审计一波

评论列表

  • 加载数据中...

编写评论内容

a819819
发表于 1个月前

我好像也找到这个站了- -

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者